Um Bastion Host é o termo aplicado a um host que age como um
choke-point entre a sua rede e a Internet, ou entre subredes da
Intranet. Ele pode ser associado de várias maneiras à entrada de um
edifício - todos devem passar por aquele ponto tanto para entrar
quanto para sair do edifício. Para um Bastion Host que está conectado
à Internet, maior atenção deve ser dada à segurança - é o ponto mais
exposto e, por essa razão, deve ser o mais forte.

O Bastion Host seria o ponto de entrada, tipicamente dos seguintes
serviços:

- Sessões de E-mail que estejam chegando (SMTP) e distribuí-las para
     o site;
- Requisões de FTP para o servidor de FTP anônimo;
     - Para consultas ao servidor de DNS interno.

Serviços para redes externas, podem ser tratadas de uma das
maneiras seguintes:

- Configuração de Packet Filtering nos roteadores externo e interno
para permitir que clientes externos acessem servidores externos
diretamente;
- Configurar servidores proxy para rodarem no Bastion Host (se o
firewall da rede estiver configurado para tal) para permitir que
clientes internos acessem servidores externos indiretamente. O
Packet Filtering pode ser configurado para permitir também que
clientes internos comuniquem com os servidores proxy no Bastion
Host e vice-versa, mas para proibir que haja comunicação direta
entre os clientes internos e o mundo exterior.

Em um outro caso, o Packet Filtering permite que o Bastion Host se
conecte e aceite conexões de hosts na Internet; quais hosts e quais
serviços devem ser aceitos, depende da política de segurança.

Muito do papel do Bastion Host consiste em atuar como um servidores
proxy para vários serviços, tanto rodando software proxy especializado
para alguns protocolos (tais como HTTP ou FTP), ou através de
servidores padrão de protocolos self-proxy (como o SMTP).

Quando um Bastion Host é necessário

A decisão de colocar ou não um bastion host depende de quais
serviços serão requisitados ao seu firewall e de quanto as
organizações confiam umas nas outras. Bastion hosts na rede
limítrofes são raramente requeridos para comunicações com produtos
comerciais; usualmente, os dados estão sendo enviados obedecendo
a um protocolo particular e pode protegê-los com um Screened Host.

Se as organizações onde as redes a serem ligadas possuem razoável
grau de confiança umas nas outras, torna-se mais razoável utilizar
Packet Filters de tal forma que os clientes do outro lado da rede
possam conectar aos servidores internos (tais como os servidores de
SMTP e DNS) diretamente.

Por outro lado, se o grau de confiança entre as organizações não é
muito elevado, um Bastion host pode ser colocado em cada lado da
rede, com controle e gerência próprios, na rede limítrofe. O tráfego de
dados iria fluir de uma rede até o seu Bastion Host, para o outro
Bastion Host e finalmente para a outra rede interna.